★Windows xp SP2防火墻的工作

　　對于只使用瀏覽、電子郵件等系統(tǒng)自帶的網(wǎng)絡(luò)應(yīng)用程序，Windows防火墻根本不會產(chǎn)生影響。也就是說，用IE、OutlookExPRess等系統(tǒng)自帶的程序進行網(wǎng)絡(luò)連接，防火墻是默認不干預(yù)的。微軟在設(shè)置防火墻內(nèi)置規(guī)則時，已經(jīng)為自家的應(yīng)用程序開了“綠色通道”，所以裝上SP2后，即使打開其防火墻并且啟用“不允許例外”，無需將IE加到“例外”就能上網(wǎng)，而防火墻也不會詢問是否要允許IE通過。

　　★SP2防火墻與第三方防火墻軟件的區(qū)別

　　僅就防火墻功能而言，Windows防火墻只阻截所有傳入的未經(jīng)請求的流量，對主動請求傳出的流量不作理會。而第三方病毒防火墻軟件一般都會對兩個方向的訪問進行監(jiān)控和審核，這一點是它們之間最大的區(qū)別。如果入侵已經(jīng)發(fā)生或間諜軟件已經(jīng)安裝，并主動連接到外部網(wǎng)絡(luò)，那么Windows防火墻是束手無策的。

　　不過由于攻擊多來自外部，而且如果間諜軟件偷偷自動開放端口來讓外部請求連接，那么Windows防火墻會立刻阻斷連接并彈出安全警告，所以普通用戶不必太過擔心這點。

　　這就好像賓館里的房門一樣——外面的人要進入必須用鑰匙開門，而屋里的人要出門，只要拉一下門把手就可以了。

　　實戰(zhàn)1:天網(wǎng)防火墻和Windows防火墻的不同

　　我們用兩種軟件來分別對QQGame的網(wǎng)絡(luò)請求進行監(jiān)控。

　　第一步:確認不要將QQGame這個程序添加到各自的“例外”規(guī)則中，然后登錄QQ游戲大廳；

　　第二步:這時你會發(fā)現(xiàn)，天網(wǎng)個人防火墻立即阻止qq游戲的網(wǎng)絡(luò)訪問，然后詢問是否給予通行(見圖1)；

圖1天網(wǎng)的警告信息

　　第三步:而Windows防火墻對這個主動出站的請求不做任何處理，就好像沒有防火墻一樣，輸入帳戶信息后登錄到游戲平臺，QQGame實際上已經(jīng)完成了往外網(wǎng)絡(luò)訪問；這時需要將游戲信息下載到本地(就是有外部訪問請求)，防火墻就彈出了“Windows 安全警報”(見圖2)。

圖2 QQ游戲要聯(lián)系網(wǎng)絡(luò)所彈出的警告

　　小提示：取消“Windows 安全警報”的方法:打開防火墻設(shè)置后，在“例外”選項卡中取消選擇“Windows防火墻阻止程序時通知我”即可。

　　實戰(zhàn)2:讓XP SP2正確識別UPnP(通用即插即用)

　　戰(zhàn)前分析:BitComet以其擁有內(nèi)網(wǎng)互聯(lián)(NAT Traversal)技術(shù)，而且支持UPnP的NAT和Windows XP防火墻，讓內(nèi)網(wǎng)的朋友在進行BT下載時可以獲得相當快的下載速度。但自從升級到SP2并啟用了Windows防火墻后，BitComet軟件速度變得很慢！這是由于防火墻沒有設(shè)置好，使得系統(tǒng)沒能正確識別UPnP設(shè)備。

　　第一步:Windows XP默認是支持UPnP的，如果在“例外”看不到這個選項，則說明沒有安裝UPnP設(shè)備支持。打開“網(wǎng)上鄰居”窗口，在其左側(cè)的工具欄中點擊“顯示聯(lián)網(wǎng)的UPnP設(shè)備的圖標”，如果UPnP設(shè)備文件沒有安裝或安裝不正確，系統(tǒng)就會自動安裝(見圖3);

圖3 顯示UPnP設(shè)備

　　第二步:在“控制面板”中打開防火墻并啟動，確認不勾選“不允許例外”這個選項；當打開BitComet后，Windows防火墻有可能會提示你是否要阻止該程序，選擇“解除阻止”；

　　第三步:點擊“例外”選項卡，勾選“UPnP框架”即可。

　　實戰(zhàn)3:給遠程管理開個通行證

　　戰(zhàn)前分析:當通過MMC控制臺中的Computer Management(計算機管理)、Disk Management(磁盤管理)等組件遠程管理程序來管理局域網(wǎng)上的其他計算機，計算機必須開放TCP 445端口。如果在遠程操作已經(jīng)安裝XP SP2并開啟了防火墻的計算機時，就得手動打開這個TCP端口。

　　第一步:打開防火墻設(shè)置窗口，切換到“例外”選項卡，勾選“文件和打印機共享”

　　第二步:單擊“編輯”按鈕，在打開的“編輯服務(wù)”窗口中選中“TCP 445”，單擊更改范圍，勾選“僅我的網(wǎng)絡(luò)”或者勾選“自定義列表”并輸入要控制的計算機的ip地址(見圖4)。

圖4 輸入要控制的計算機的IP地址

　　小提示

　　上列步驟可以用命令代替，即在命令提示符窗口中輸入“netsh firewall set portopening TCP 445 TCP445 ENABLE”(不包括引號)。
　　實戰(zhàn)4:徹底搞定“遠程桌面”連接

　　戰(zhàn)前分析:通過Windows XP SP2防火墻實現(xiàn)遠程協(xié)作的方法很簡單，遠程協(xié)作使用的是動態(tài)端口。在防火墻設(shè)置對話框中的“例外”選項卡上“程序和服務(wù)”列表中選擇“遠程協(xié)作”項目，這樣Windows將自動監(jiān)視并正確處理來自sessmgr.exe應(yīng)用程序的所有通訊請求完成連接。Windows NetMeeting的遠程桌面要復(fù)雜一些，盡管在例外選項卡中有“遠程桌面”選項，但是如果你選擇這個選項，
　　
　　實際是開放了TCP的端口3389，也可能無法完成遠程桌面連接。

　　方法:在Windows防火墻打開的情況下，在可以使用Windows NetMeeting的遠程桌面共享功能之前，必須向Windows防火墻的“例外”選項卡上“程序和服務(wù)”列表中分別為Windows NetMeeting和%systemroot% /System32/Mnmsrvc.exe文件和C:/Program Files/NetMeeting/conf.exe文件分別添加一個條目即可。

　　實戰(zhàn)5:只讓內(nèi)網(wǎng)來“Ping”我！

　　戰(zhàn)前分析:在默認情況下XP SP2防火墻不允許ICMP入站數(shù)據(jù)進入，也就不會回復(fù)ICMP返回數(shù)據(jù)，這樣可以防止檢查網(wǎng)絡(luò)故障常用的命令工具“Ping”來探測你的計算機，不過這樣對于一些啟用了共享上網(wǎng)的用戶，內(nèi)網(wǎng)就無法用Ping來檢查自己的網(wǎng)絡(luò)情況了。

　　方法一:按照實戰(zhàn)2的方法，分別將“文件和打印機共享”中所打開的TCP端口適用于子網(wǎng)即可。

　　方法二:打開Windows 防火墻，切換到“高級”選項卡，雙擊與內(nèi)網(wǎng)連接的那個“本地連接”，切換到“ICMP”選項卡，勾選“允許傳入的回顯請求”，確認所有操作即可(見圖5)。

圖5 高級設(shè)置

　　ICMP協(xié)議

　　ICMP是“Internet Control Message Protocol”(Internet控制消息協(xié)議)的縮寫，它是TCP/IP協(xié)議簇中的一個子協(xié)議，用于在IP主機、路由器之間傳遞控制消息。控制消息是指網(wǎng)絡(luò)通不通、主機是否可達、路由是否可用等網(wǎng)絡(luò)本身的消息，這些控制消息雖然并不傳輸用戶數(shù)據(jù)，但是對于用戶數(shù)據(jù)的傳遞起著重要的作用。我們在網(wǎng)絡(luò)中經(jīng)常會使用到ICMP協(xié)議，只不過我們覺察不到而已。比如我們經(jīng)常使用的用于檢查網(wǎng)絡(luò)通不通的Ping命令實際上就是ICMP協(xié)議工作的過程，還有諸如跟蹤路由的Tracert命令也是基于ICMP協(xié)議的。